portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Transcription

1 portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés.

2 Table des matières Introduction 2 Contrôle d'accès au réseau (NAC) 3 Access Layers portnox 4 Environnement de gestion portnox 6 Architecture et déploiement de portnox 7 Résumé 8 À propos de Access Layers 8

3 Introduction Pour garantir une sécurité réseau efficace, l'ensemble des éléments composant le réseau doivent être parfaitement identifiés, surveillés et sécurisés, à tout moment. Une simple sécurisation périphérique n'est plus suffisante, étant donné que le réseau interne non surveillé reste vulnérable. Les moyens de défense courants sont généralement inadaptés pour garantir la sécurité «interne», dans la mesure où ils se révèlent incapables de protéger des milliers de systèmes différents provenant de divers fournisseurs. Au cours des dernières années, face à la nécessité de répondre aux besoins d'une communauté d'utilisateurs diversifiée et en forte croissance, les environnements réseau professionnels ont été exposés à de nombreuses nouvelles menaces. Le nombre croissant d'appareils mobiles, la diversité et le nombre de terminaux autres que les ordinateurs fixes ou portables (par exemple : les appareils de téléphonie IP), ainsi que l'arrivée et le départ constant sur le réseau d'utilisateurs gérés et non gérés, sont autant de facteurs qui ont contribué à fragiliser le réseau en termes de sécurité des informations et de l'infrastructure. En raison de la croissance des communautés d'utilisateurs et de la diversification des modes d'accès, les réseaux deviennent de plus en plus hétérogènes et souples afin de garantir la productivité, ce qui ne permet quasiment plus d'assurer le niveau de sécurité requis. Une simple sécurisation périphérique n'est plus suffisante, étant donné que le réseau interne non surveillé reste vulnérable et menacé en permanence. Les moyens de défense courants sont généralement inadaptés pour garantir la sécurité «interne», dans la mesure où ils se révèlent incapables de protéger des milliers de systèmes différents provenant de divers fournisseurs. Certaines entreprises ont subi d'énormes pertes financières en raison de défauts de sécurité réseau qui ont provoqué la fuite de données sensibles, ainsi que la corruption - intentionnelle ou non - des informations et de l'infrastructure. Dans certains cas, les torts étaient provoqués par un seul terminal «malsain» ou «inconnu», provoquant des plantages et perturbant des processus opérationnels critiques. À l'heure actuelle, il est évident qu'une sécurité réseau efficace passe par l'identification, la surveillance et la sécurisation adéquates de l'ensemble des éléments utilisant le réseau, qu'ils soient gérés ou non. Cependant, identifier tous les éléments réseau, surveiller en permanence leurs actions et mettre en œuvre des stratégies de sécurité granulaires, sans nuire à la productivité des utilisateurs, aux performances du réseau ou aux infrastructures, constitue une véritable gageure. D'après les spécialistes, le meilleur moyen de protéger les réseaux, étant donné leur état actuel et leurs perspectives de croissance, consiste à utiliser un contrôleur d'accès au réseau ou NAC (Network Access Control), une technologie qui suscite un intérêt croissant dans le secteur depuis quelques années. Selon leurs prévisions, la plupart des entreprises seront contraintes de s'équiper d'une solution NAC au cours des 2-3 ans à venir et celles qui n'y parviendront pas verront leur activité perturbée par des dysfonctionnements réseau.

4 Contrôle d'accès au réseau (NAC) Selon les composants installés sur les terminaux, les solutions classiques de contrôle d'accès au réseau ne s'attaquent pas aux réelles menaces informatiques menaçant les entreprises, en raison de leur incapacité à prendre en charge la gamme complète de terminaux, d'éléments réseau et d'événements. Les technologies NAC (Network Access Control) demandent généralement aux utilisateurs et aux terminaux de prouver leur identité et leur «état de santé» avant de leur accorder l'accès au réseau. La majorité des solutions NAC disponibles interceptent les utilisateurs ou les terminaux qui tentent d'accéder au réseau, contrôlent leur validité et leur adéquation avec les politiques de sécurité de l'entreprise (à l'aide de diverses méthodes telles que des protocoles spéciaux, des agents logiciels ou un balayage de données), et déclenchent des mesures de remédiation ou d'autres processus en fonction des résultats de leurs tests. Dans la plupart des cas, ces processus consistent à installer et exécuter un anti-virus, des correctifs, des service packs ou les dernières versions des applications courantes, ainsi qu'à empêcher l'utilisation d'applications et de logiciels non autorisés. Cette approche traditionnelle du contrôle d'accès au réseau ne constitue toutefois pas une solution à long terme. Il apparaît clairement qu'il faut bien plus que des mesures d'identification et de remédiation pour obtenir une sécurité réseau optimale. Basée sur l'installation de composants (tels que des agents logiciels et des certificats numériques) sur les terminaux, l'approche classique du contrôle d'accès au réseau n'est pas utilisable avec des centaines voire des milliers de terminaux qui ne sont pas des PC (tels que les périphériques mobiles, les serveurs Unix, les téléphones, les imprimantes, les caméras IP, les systèmes existants, etc.), ce qui laisse en permanence des portions considérables du réseau sans protection. En outre, ce procédé ne sait pas identifier et gérer des événements autres qu'une tentative d'accès d'un terminal au réseau. Parmi les nombreuses solutions NAC disponibles, la plupart nécessite l'installation de composants sur les terminaux, la mise à niveau des éléments réseau existants ou des modifications structurelles du réseau. Les processus de mise en œuvre et de déploiement sont généralement complexes et coûteux, sans compter la baisse de productivité que peut engendrer leur mise en place. Malgré la complexité de leurs procédures de déploiement, les solutions classiques de contrôle d'accès au réseau ne s'attaquent pas aux réelles menaces informatiques menaçant les entreprises, en raison de leur incapacité à prendre en charge la gamme complète de terminaux, d'éléments réseau et d'événements. agent logiciel

5 Access Layers portnox Grâce à VLAN Steering, à la remédiation des terminaux ou à l'interruption de ports physiques donnés, les responsables réseau peuvent désormais décider quels terminaux et composants sont autorisés à accéder au réseau, où, quand et comment. Access Layers portnox est une extension naturelle pour les solutions NAC traditionnelles. C'est une approche novatrice permettant d'obtenir une sécurité réseau optimale, simplement en croisant les informations dérivées de trois sphères d'organisation informatique distinctes : le réseau, la sécurité et l'infrastructure. portnox permet un contrôle maximum et en temps réel de tous les terminaux et autres éléments réseau grâce à une surveillance et une gestion basées sur l'infrastructure. Grâce à la définition et à l'application de politiques uniques de contrôle d'accès pour chaque port réseau physique et logique, cette solution parvient à sécuriser des portions de réseau, là où toutes les autres ont échoué. Le système est chargé d'identifier les terminaux et les éléments réseau, et de vérifier s'ils sont authentifiés. Quand une autorisation est accordée, le système applique les politiques spécialement définies pour le port que l'élément réseau en question tente d'utiliser. Grâce à une surveillance réseau continue et en temps réel, portnox croise les informations issues de diverses ressources afin d'identifier les événements représentant une menace et nécessitant une intervention. Parmi ces événements figurent les comportements réseau anormaux ou suspects, ainsi que les événements classiques, tels que les tentatives d'accès de terminaux. Pour identifier l'élément réseau qui est à l'origine de l'événement, portnox a recours à plusieurs procédures d'authentification, qui sont toutes totalement transparentes et ne nécessitent aucune perturbation des terminaux et des autres éléments réseau. L'évaluation et la validation sont basées sur un mécanisme de notation unique, qui est en cours de brevetage. Divers paramètres sont comparés pour déterminer si l'élément réseau identifié est autorisé à utiliser le réseau de la façon dont il tente de le faire. Ces paramètres comprennent la nature de l'activité, son emplacement d'origine réel, l'heure du jour, l'«état de santé» du système d'exploitation de l'élément ou de tout autre logiciel installé qu'il tente d'utiliser, et bien d'autres. Une note est attribuée pour chaque paramètre contrôlé, puis un score global est calculé en fonction de la note obtenue pour chaque paramètre et de son coefficient. L'autorisation est accordée si ce score global atteint un certain niveau prédéfini. portnox permet la mise en œuvre dynamique de politiques de sécurité granulaires. Grâce à VLAN Steering, à la remédiation des terminaux ou à l'interruption de ports physiques donnés, les responsables réseau peuvent désormais décider quels terminaux et composants sont autorisés à accéder au réseau, où, quand et comment.

6 Cette nouvelle approche permet aux responsables réseau de surveiller celui-ci en permanence, d'avoir un aperçu en temps réel des composants et des personnes actifs au sein du réseau, d'être alertés de tout événement inhabituel (tel que les tentatives d'accès, les infractions, les problèmes d'accès ou les comportements réseau anormaux), et d'appliquer différentes règles de contrôle d'accès dans différents emplacements physiques, ad-hoc ou sur la base d'une politique. portnox s'attaque simultanément aux questions de sécurité et de gestion réseau, de manière efficace et dynamique. La couverture réseau intégrale, la surveillance centralisée des commutateurs et des éléments physiques d'accès au réseau, les fonctionnalités d'audit et de gestion directe des commutateurs, et les alertes en temps réel en cas de comportement réseau inhabituel ne constituent qu'une partie des fonctionnalités de gestion de portnox. Couverture réseau intégrale Surveillance centralisée des commutateurs et des éléments physiques d'accès au réseau Fonctionnalités d'audit et de gestion directe des commutateurs Alertes en temps réel en cas de comportement réseau inhabituel Emplacement Heure Utilisateur Système d'exploitation Périphérique portnox met en lumière les ports Ethernet physiques standard

7 Environnement de gestion portnox L'interface de gestion unique de portnox «affiche la sécurité» comme aucune autre solution du marché ne le fait. Les données sont présentées d'une manière claire et sommaire, qui informe, illustre et met en lumière l'état de sécurité d'une entreprise en temps réel. Grâce à ses nombreuses fonctionnalités de gestion, portnox permet un fonctionnement dynamique des procédures d'administration et de sécurité réseau. Il offre aux responsables réseau un aperçu en temps réel de tous les membres du réseau, de l'activité et des tentatives d'accès, ce qui leur permet de déceler les menaces et de prendre des mesures préventives visant à empêcher tout risque de violation ou de dommage. Parallèlement, portnox offre la possibilité d'effectuer de façon simple et rapide des opérations administrative complexes, ainsi que de contrôler efficacement les performances du réseau et l'attribution des ressources. Exemples de tâches effectuées à l'aide de l'environnement de gestion portnox : Configuration et maintenance de politiques détaillées de notation Configuration et gestion de politiques d'accès granulaires, basées sur des emplacements physiques ou des définitions de rôle au sein de l'entreprise Configuration et gestion en temps réel de paramètres d'accès pour chaque port réseau physique, y compris la possibilité de désactiver des ports, ad-hoc ou sur la base d'une politique Déconnexion ou isolation de systèmes, d'utilisateurs ou de terminaux, au cas où ils constitueraient une menace ou généreraient des événements de sécurité inhabituels Délégation de l'exécution d'opérations administratives simples au service d'assistance informatique Attribution efficace des ressources conformément aux profils d'utilisation des systèmes, des utilisateurs et des terminaux Affichage filtré des statistiques réseau importantes Fonctionnalités élaborées de création de rapport Avantages Aperçu en temps réel de tous les membres du réseau, de l'activité et des tentatives d'accès Identification des menaces et prévention des violations Réalisation simple et rapide d'opérations administratives complexes Contrôle efficace des performances réseau et de l'attribution des ressources

8 Architecture et déploiement de portnox portnox est une solution centralisée à base logicielle. En tant que telle, sa mise en œuvre et son déploiement ne nécessite aucune modification ou ajustement de la structure réseau ou des procédures de travail existantes, ni la mise à niveau des commutateurs ou d'autres éléments réseau. Parallèlement, les fonctionnalités du système portnox sont acquises dès le début et ne dépendent pas de l'installation de logiciels, d'applications, d'agents ou de tous autres composants sur les terminaux. Le système prend en charge et couvre les commutateurs et composants réseau des principaux types et fournisseurs, sans se limiter à des technologies ou configurations spécifiques, ce qui accélère et simplifie grandement le processus de déploiement. Le déploiement est totalement transparent et ne présente aucun risque de dégradation des performances réseau ou de la productivité de l'entreprise. portnox est une solution interopérable, qui peut être intégrée à toute solution existante de sécurité réseau ou de contrôle d'accès. En tant que solution centralisée à base logicielle, portnox permet une mise en œuvre et un déploiement totalement transparents, ne nécessitant pas la moindre modification ou mise à niveau de la structure réseau, des éléments ou des procédures de travail existantes. Prise en charge totale des commutateurs et composants réseau des principaux types et fournisseurs Indépendant de tout logiciel, application, agent ou de tout autre composant à installer sur les terminaux Intégration interopérable à toute solution existante de sécurité réseau ou de contrôle d'accès Fiabilité élevée grâce à une architecture à tolérance de faute Le point de départ de votre réseau (The point where your network begins )

9 Résumé Les responsables réseau s'efforcent de préserver le délicat équilibre entre une sécurité réseau maximum et une productivité adéquate. portnox génère un nouveau contexte en exploitant l'emplacement physique du port comme une nouvelle dimension de sécurité réseau, ce qui lui permet de sécuriser des portions du réseau qu'aucune autre solution n'est en mesure de protéger. Grâce à la prise en charge des commutateurs, composants réseau et terminaux des principaux types et fournisseurs, le déploiement de portnox est parfaitement transparent et ne compromet à aucun moment les performances ou la productivité du système. Dans des environnements professionnels où le nombre et la diversité des éléments réseau ne cessent de s'accroître, les responsables réseau sont contraints de trouver et de préserver le délicat équilibre entre une sécurité réseau maximum et une productivité adéquate. D'après les spécialistes, le moyen le plus efficace de sécuriser les réseaux consiste à utiliser un contrôleur d'accès au réseau ou NAC (Network Access Control). Cependant, la majorité des solutions NAC actuellement disponibles implique des modifications considérables au niveau des éléments réseau, des structures ou des procédures de travail, sans pour autant assurer une sécurité totale, couvrant l'ensemble des éléments réseau. portnox est une extension naturelle pour les solutions NAC actuelles, permettant un contrôle maximum et en temps réel de tous les terminaux d'accès au réseau, grâce à la définition et à l'application de politiques uniques de contrôle d'accès pour chaque port physique du réseau. L'adjonction de l'emplacement physique du port comme une nouvelle dimension de sécurité réseau génère un nouveau contexte, permettant aux responsables réseau de décider quels utilisateurs et terminaux sont autorisés à accéder au réseau, où, quand et comment. De plus, portnox propose une surveillance centralisée des commutateurs et des éléments physiques du réseau, des fonctionnalités d'audit et de gestion directe des commutateurs, et des alertes en temps réel en cas de comportement réseau inhabituel. Grâce à la prise en charge des commutateurs, composants réseau et terminaux des principaux types et fournisseurs, le déploiement de portnox est parfaitement transparent et ne nécessite aucun ajustement spécial. Il ne compromet donc à aucun moment les performances du réseau ou la productivité de l'entreprise. Capable d'offrir une couverture réseau complète et de sécuriser des portions du réseau qu'aucune autre solution ne peut protéger, portnox est un composant indispensable au sein de toute suite de contrôle d'accès au réseau (NAC). À propos de Access Layers Access Layers a été fondé en 2005 dans le but de faire face au besoin urgent, sur le marché de la sécurité, de systèmes capables de compléter les solutions de sécurité LAN classiques et de fournir de véritables fonctionnalités de contrôle et de gestion du réseau. Le siège social d'access Layers se situe à Hertzlia, en ISRAËL. Pour de plus amples informations, consultez le site